Hallo Sven
Am Mo., 3. Dez. 2018 um 22:01 Uhr schrieb Sven Roederer
Post by Sven RoedererPost by Harald StürzebecherMehrere für den Einsatz kritische Probleme sind AFAICT erst in den
- Mit Zertifikaten, die 60 Tage gültig sind und für die als
Updatestrategie "mach Dir ein neues" angeboten wurde. konnte man IMHO
nicht sinnvoll arbeiten. Zum Testen OK, aber nicht produktiv.
- In Spandau lief das Monitoring der Melanchthon-Kirche so instabil,
dass Thorsten nach kurzer Zeit wieder auf VPN03 gewechselt hatte, wo
es keine Probleme gab. Inzwischen soll es auch mit dem
Community-Tunnel laufen.
Die Aussage, das es den Community-tunnel seit September 2017 gibt, ist
zwar vielleicht korrekt, aber IMHO nutzlos.
In der Tat ist das wieder ein Henne-Ei-Problem, wie das Routing-protokoll
und der Umstieg auf 802.11s.
IMHO ist die Einführung eines neuen Tunnels eben gerade kein
Henne-Ei-Problem. Das ist nur eine Abhängigkeit in einer Richtung. Der
neue Server kann auch laufen, ohne dass er Nutzer hat. Es reicht auch,
wenn sich zunächst nur neue Clients mit dem neuen Server verbinden. Am
alten Server und an den alten Clients muss erstmal nichts verändert
werden. Mit der Entscheidung, bei einer neuen Firmware-Version nur
noch den neuen Tunnel zu unterstützen und für den alten Server keine
neuen Nutzer mehr zuzulassen, ist IMHO sichergestellt, dass die
Nutzung des neuen Servers langsam aber stetig steigt.
Beim Routing-Protokoll tun wir uns so schwer, weil es problematisch
ist, wenn zwei Programme gleichzeitig die Routingtabelle bearbeiten.
Dadurch müsste im Prinzip das gesamte Netz ohne Übergangszeit
umgestellt werden.
Bei 802.11s ist das Henne-Ei-Problem IMHO deutlich schwächer
ausgeprägt. 11s lässt sich auf diversen Routermodellen parallel zum
Ad-Hoc einschalten. Außerdem ist die Umstellung bei der aktuellen
Stable-Firmware AFAIK mit wenigen Schritten ohne Neuinstallation
möglich. Ganz Mutige machen das vermutlich sogar remote bei einem
Knoten, der nur über Mesh erreichbar ist.
Post by Sven RoedererAber mit 72 Hennen kann man schon von produktiver Nutzung reden, denke ich.
Und nachdem Perry die Firewall auf dem einen Gateway gefixt hat, scheinen
ja auch keine Probleme mehr zu bestehen.
Thorsten hat mir vorhin geschrieben, dass der Uplink der
Melanchthon-Kirche nach der Umstellung auf Community-Tunnel wieder
instabil ist. Solange die Ausfälle im Monitoring mit der Nutzung des
Community-Tunnels zusammentreffen glaube ich nicht an "keine
Probleme". Ich warte gespannt, ob die tatsächliche Ursache mal
gefunden werden kann.
Post by Sven RoedererPost by Harald StürzebecherWenn der Zeitplan so umgesetzt wird, gibt es 300 Geräte, die jetzt
laufen und es ohne Aktivitäten ihrer Besitzer demnächst nicht mehr tun
werden. Mir fällt schwer, das positiv zu sehen, auch wenn ich die
Gründe für die Abschaltung verstehen kann.
Post by Sven RoedererDiesen Zeitraum sehe ich nicht als überstürzt und Probleme sind mir beim
Community-tunnel zur Zeit auch nicht bewußt.
Wie sicher ist, dass das auch in den nächsten Wochen keine
unvorhergesehenen Probleme auftreten? ;-)
Post by Sven RoedererPost by Harald StürzebecherBei mir liegt seit einigen Wochen ein (normalerweise ca. 20 km
entfernt stehender) Router, den ich umstellen möchte. Mal sehen, wann
ich Zeit finde und wie reibungslos das abläuft.
Für Tunneldigger gibt es AFAICT noch keine stabile Firmware.
OpenVPN-Community-Tunnel und BBB-VPN auf einer Kiste erfordert AFAIK
Bastelarbeit mit den Paketen.
In der "tunnel-berlin" version der Images ist keine Bastelarbeit an den
Paketen nötig, das läuft genau so zuverlässig wie bei den VPN03-Images.
Beim BBB-VPN ist ist der Tat immer Bastelarbeit nötig für die initiale
Einrichtung.
Sorry, ich hatte die Umsetzung von
https://github.com/freifunk-berlin/firmware/issues/489 nicht bemerkt.
Wenn der Patch in der Stable-Firmware drin ist, wird es tatsächlich
nicht so schlimm. Trotzdem ist das nichts, das ich "mal eben" morgens
vor dem Frühstück erledigen werde. Vermutlich werde ich auf BBB-VPN
verzichten. Ging bisher auch, dauert dann halt ein paar Wochen, wenn
ich an dem Router etwas machen möchte. Manchmal möchte man basteln,
manchmal soll es mit möglichst wenig Aufwand und Risiko funktionieren.
Wenn ich einen Router aufstelle, damit andere Leute WLAN haben, soll
er ohne viele Experimente einfach nur laufen. Basteln mache ich zu
Hause, wo es niemanden stört.
Post by Sven RoedererPost by Harald StürzebecherPost by Sven RoedererDie Umstellung eines VPN03-gateways zu einem Community-tunnel-gateway [2] , auf
OpenVPN-basis, ist in weniger als 1 Stunde entspannt gemacht. Es muss halt nur
* Wartung von 3 Tunnellösungen (VPN03, Community-openvpn, Community-Tunneldigger)
* klare Zuständigkeit
* der "Kampf" mit / gegen den Förderverein ist ausgestanden
Es ist gut, dass es für die Server-Administratoren so einfach ist.
Dazu kommen dann aber noch die Stunden, die die Nutzer investieren
müssen. Und schon sieht die Bilanz IMHO nicht mehr so gut aus.
Bei der Umstellung der Nodes zwischen den verschiedenen UPlink-typen
habe ich ja an einer Version von Hedy-1.0.2 gearbeitet, die das unter-
stützt [1].
Hier kannst du ja mal einen Testnode mit deinen unbenutzten Routern
aufbauen und das probieren. Bei 2 von 2 Routern habe ich nur ein kleines
Problem festgestelt, dass jetzt auch gehoben sein sollte. In Verbindung
mit BBB-VPN hab ich das noch nicht probiert, erwarte aber keine Problem.
Das ist genau das, was ich mit "Stunden" meinte. Wenn jemand überhaupt
nicht basteln sondern einfach nur einen Router aufstellen möchte,
sollte das IMHO so weit wie möglich auch akzeptiert werden.
Post by Sven RoedererPost by Harald StürzebecherPost by Sven RoedererWir können einfach vorwärts laufen, oder auch weiter im Kreis rennen ...
Vorwärts ist gut, wenn man sehen kann, dass der Weg frei ist und in
Richtung Ziel führt. Das mit dem Ziel scheint schon zu passen. Ich
habe aber im Moment den Eindruck, dass wir zu schnell unterwegs sind
und man auf dem Weg einige Leute hilflos zurücklassen wird.
Geschwindigkeit ist ja relativ: Gemessen an der Zeit zum Hardwareaustausch
wegen Routerdefekten, sind wir heir schnell unterwegs. Im Vergleich zur
allgemeinen Entwicklung von Software sind wir langsam unterwegs.
Die "allgemeinen Entwicklung von Software" hat aber auch in der Regel
ein funktionierendes Auto-Upgrade, bei dem der Nutzer kaum Zeit
investieren muss. Wenn das mal nicht wie geplant funktioniert, gibt es
auch dort lautes Fluchen. So gesehen verbessert die Abschaltung die
Qualität der Freifunksoftware in Berlin, weil die ungepflegten Geräte
dann eben weg sind. Evolution - wer sich nicht anpasst, hat verloren.
;-)
Post by Sven RoedererDa noch 60% der Nodes mit Software <= OpenWrt 15.05 läuft, sind Nodebetreiber
in der Regel wohl eher "Install once and never touch again" User.
Das betrifft AFAICT allerdings auch Backbone-Standorte mit
überlasteten Maintainern.
Ich finde, dass das deutlicher kommuniziert werden sollte: "Wenn Du
beim Freifunk mitmachen willst, rechne damit, ab und zu Zeit mit
Deinem Router verbringen zu müssen. Wann das der Fall ist, wird durch
die Weiterentwicklung der Software und Dienste bestimmt." ;-)
Post by Sven RoedererUnd da wir keinen Auto-upgrader haben, werden "inaktive" Nodebtrteiber immer
hilflos zurückbleiben und den Anschluss verlieren...
Oder man schafft es, über lange Zeit rückwärtskompatibel zu bleiben.
Selbst die Sicherheitslücken scheinen kein großes Problem zu sein. Ich
lese jedenfalls nicht dauernd von Zwischenfällen.
VG
Harald